本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
儲存存取權管理
Lake Formation 使用憑證自動售貨功能來提供對 Amazon S3 資料的臨時存取。憑據自動售貨或令牌自動售貨是一種常見的模式,它為用戶,服務或某些其他實體提供臨時憑據,用於授予對資源的短期訪問權限。
Lake Formation 利用這種模式來提供短期存取 AWS 分析服務 (例如 Athena),以代表呼叫主體存取資料。授予許可時,使用者不需要更新其 Amazon S3 儲存貯體政策或 IAM 政策,也不需要直接存取 Amazon S3。
下圖顯示了 Lake Formation 如何提供對註冊位置的臨時訪問權限:
-
主體 (使用者) 透過受信任的整合服務 (例如 Athena、Amazon EMR、Redshift 頻譜或) 輸入資料表的查詢或請求。 AWS Glue
-
整合式服務會針對表格和要求的資料行檢查 Lake Formation 的授權,並做出授權決定。如果使用者未獲得授權,則 Lake Formation 會拒絕存取資料,且查詢會失敗。
在授權成功並開啟資料表和使用者的儲存區授權之後,整合式服務會從 Lake Formation 擷取暫時認證以存取資料。
-
整合式服務會使用來自 Lake Formation 的臨時登入資料,向 Amazon S3 請求物件。
Amazon S3 提供 Amazon S3 對象的集成服務。Amazon S3 對象包含表中的所有數據。
整合式服務會執行 Lake Formation 原則的必要強制執行,例如欄層級、資料列層級和/或儲存格層級篩選。整合式服務會處理查詢,並將結果傳回給使用者。
啟用「資料目錄」表格的儲存層級權限強制執行
依預設,「資料目錄」中的資料表不會啟用儲存層級強制執行。若要啟用儲存層級強制執行,您必須向 Lake Formation 註冊來源資料的 Amazon S3 位置,並提供 IAM 角色。對於具有相同表格位置路徑或 Amazon S3 位置前綴的所有表格,都會啟用儲存層級許可。
當整合式服務代表使用者要求存取資料位置時,Lake Formation 服務會擔任此角色,並將認證傳回至具有降低資源權限的要求服務,以便進行資料存取。已註冊的 IAM 角色必須具有對 Amazon S3 位置 (包括 AWS KMS 金鑰) 的所有必要存取權。
如需詳細資訊,請參閱 註冊 Amazon S3 位置。
支援的 AWS 服務
AWS 分析服務,例如 Athena,Redshift 頻譜,Amazon EMR AWS Glue Amazon QuickSight,並使用 AWS Lake Formation 憑證自動售貨 API 操作與 Lake Formation Amazon SageMaker 集成。若要查看與 Lake Formation 整合的完整 AWS 服務清單,以及它們支援的粒度和表格格式等級,請參閱與其他 AWS 服務合作。
